ペッパー

単語

https://zenn.dev/nekoniki/articles/6f07ff4423f194
パスワードのハッシュ化におけるペッパーとは、ソルトと同様にハッシュ化をするときにパスワードに付与するデータで、これによりハッシュの逆算に対する耐性を高める。
ソルトとの違いは、システムで共通の固定値データが使われ、その固定値はサーバ上のユーザからは見えない場所(設定ファイルなど)に保存されているという点。
シークレットソルトとも呼ばれる。


これにより、仮にパスワードをハッシュ化した値とソルトのデータが流出しても、ペッパーが流出しなければ、攻撃者が求めるべき平文パスワードが何であるか分からないため、アカウント乗っ取りなどを防げる。
ソルトはたいていハッシュ化した値と同じところに保存されるので、攻撃者が「password」というパスワードを使っているユーザを探したければ「password_SOLT_STRING」という平文に変換できるハッシュ値を探せばよいと分かる。レインボーテーブルでそのハッシュ値を見つけられれば、アカウントを乗っ取れる。
ここでペッパーが使われていれば、攻撃者はどのような平文に変換できるハッシュ値を探せばよいか分からなくなるため、アカウントを乗っ取ることができない。